Аудит информационных систем: цели, стандарты и практические подходы

Значение и цели ИТ-аудита в современной организации. Практически ни одна компания в современных условиях не может обходиться без информационных технологий, а в таких отраслях, как финансы и телекоммуникации, ИТ стали неотъемлемой частью бизнеса. Однако усложнение технологий требует значительных ресурсов и порождает новые риски, нуждающиеся в контроле со стороны менеджмента и аудита. Целью ИТ-аудита является совершенствование системы контроля за информационными технологиями через оценку рисков, содействие предотвращению сбоев и участие в управлении ИТ-рисками.

Аудиторы информационных систем выполняют ключевые задачи: проводят периодические проверки, помогают разрабатывать нормативные документы и способствуют правильной организации управления ИТ. Независимо от того, является ли аудитор внешним или внутренним специалистом, он представляет интересы акционеров и руководства организации. Внешние аудиторы акцентируют внимание на независимом подтверждении надежности системы контроля, а внутренние - на обеспечении ее эффективности. Профессиональный аудитор ИТ должен обладать глубоким пониманием технологий и опытом организации систем внутреннего контроля.

Регуляторная база и технология аудита. Вопросы аудита информационных систем регулируются международными и российскими стандартами. Среди международных стандартов выделяются ISA 401 и положения по международной практике аудита 1002, 1003, 1004, 1008, 1009. Российский стандарт "Аудит в условиях компьютерной обработки данных (КОД)" содержит общие требования к проведению проверок в организациях с автоматизированными бизнес-процессами. К сожалению, существующие стандарты часто ограничиваются общей проблематикой, не давая практических рекомендаций по аудиту сложных информационных систем.

Технология аудита информационных систем в базовом понимании включает проверку трех основных блоков: технического обеспечения, программного обеспечения и технологий организации компьютерной обработки данных. При оценке технического обеспечения проверяют отказоустойчивость, надежность хранения данных, физический доступ к оборудованию, масштабируемость систем и соответствие технической политики бизнес-задачам организации.

Ключевые направления проверки программного обеспечения. В части контроля за программным обеспечением регулярной проверке подлежит лицензионная чистота, поскольку отсутствие лицензий может привести к юридическим проблемам и отказам в сопровождении. Критически важным является контроль логического разграничения прав доступа к данным на системном и прикладном уровнях, включая выполнение политики информационной безопасности. Особое внимание уделяется порядку внесения изменений в программные продукты, так как этот процесс несет существенные риски.

Обязательной проверке подлежит система протоколирования действий пользователей, обеспечивающая возможность оперативного контроля и внутренних расследований. Аудиторы также оценивают надежность системного программного обеспечения и СУБД (Систем управления базами данных), достаточность функциональных возможностей прикладных систем и наличие механизмов верификации прав доступа. Отдельно проверяется корректность автоматических процедур, таких как расчет курсовых разниц и процентов, а также достоверность справочных данных, используемых в расчетах.

Организационные аспекты и методология COBIT. Направления проверки технологии организации и использования компьютерной обработки данных включают анализ структуры ИТ-служб, существования плана развития информационных технологий и регламентации действий пользователей. Оценивается система поддержки пользователей, технология разработки и внедрения приложений, а также работа с критичными системами, такими как платежные терминалы. Обязательным элементом является проверка системы обеспечения деятельности при чрезвычайных ситуациях, включая наличие плана действий и резервной вычислительной площадки.

Для комплексного решения задач аудита рекомендуется использовать методологию COBIT, которая содержит детальное описание аудита, рекомендации по оценке и совершенствованию внутреннего контроля. Методология представляет собой набор из нескольких книг: руководство по аудиту, руководство для менеджмента, контрольные процедуры и руководство по внедрению. Однако внедрение COBIT является сложной задачей и часто требует привлечения консалтинговой помощи, особенно для оценки последовательности действий и формулирования системы приоритетов.

Широкое использование информационных технологий трансформирует задачи внутреннего и внешнего контроля, ориентируя их на предотвращение негативных явлений, глубинный анализ и управление рисками. Это укрепляет тенденции к использованию передовых международных подходов в области аудита в условиях компьютерной обработки данных, что особенно актуально для организаций, где ИТ стали критически важным элементом бизнеса.

Сведения об авторах и источниках:

Авторы: Тютюнник А.В., Шевелев А.С.

Источник: Информационные технологии в банке

Публикации предназначены для ИТ-руководителей и топ-менеджеров коммерческих банков, а также для менеджеров компаний-разработчиков и консультантов. Материалы помогут профессионалам в организации и оптимизации управления информационными системами на всех этапах их жизненного цикла.